Windows kötü amaçlı yazılım tespiti için API dizilerini analiz eden derin öğrenme modelleri, gelişen kötü amaçlı yazılım türleri nedeniyle zorluklarla karşılaşıyor.
Yakın zamanda bir grup araştırmacı, API bilgi grafiklerini ve sistem kaynak kodlamalarını kullanarak mevcut dedektörleri geliştiren MME çerçevesini önerdi.
Karşılaştırmalı öğrenmeyi kullanan MME, gelişmiş kötü amaçlı yazılım örneklerindeki benzer kötü amaçlı semantiği yakalar.
MME Çerçevesi
Deneysel sonuçlar, beş yıllık veri setinde Normal Metin-CNN’e kıyasla yanlış pozitif oranlarında %13,10’luk bir azalma ve F1 Puanında %8,47’lik bir iyileşme olduğunu göstermektedir.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access
Ayrıca MME, model bakım maliyetlerini önemli ölçüde azaltıyor ve yanlış pozitiflerde %11,16’lık bir azalma ve F1 Puanında %6,44’lük bir artış sağlamak için aylık bütçenin yalnızca %1’ini gerektiriyor.
MME çerçevesi, gelişen kötü amaçlı yazılım varyantlarının zorluğunu ele alarak API dizisine dayalı Windows kötü amaçlı yazılım tespit modellerini geliştirir. MME iki önemli yenilik sunar ve bunlar şunlardır:
- Anlamsal gösterim için API bilgi grafiklerini ve sistem kaynak kodlaması için özellik karma yerleştirmeyi birleştiren gelişmiş bir API yerleştirme yöntemi.
- Gelişen örnekler arasında benzer kötü niyetli davranışları tanıma yeteneğini geliştiren karşılaştırmalı bir öğrenme stratejisi.
2017-2021 yılları arasında 76 bin Windows PE örneğinden oluşan bir veri kümesi kullanılarak LSTM ve Text-CNN modellerine uygulandığında, MME yanlış negatif oranlarını önemli ölçüde azalttı (%22,4’ten LSTM için %10,1’e ve Text-CNN için %22,7’den %9,6’ya) ve gereken insan etiketleme çabalarını %24,19-%94,42 oranında düşürdü.
Bu yaklaşım, kötü amaçlı yazılım evrimine karşı gelişmiş kararlılık göstererek, modelin eskimesini etkili bir şekilde yavaşlatır ve orijinal model yapısını değiştirmeden uzun vadeli tespit doğruluğunu artırır.
MME çerçevesi, kötü amaçlı yazılım ailelerinin gelişen yapısını hedef alarak API dizisi tabanlı Windows kötü amaçlı yazılım tespit modellerini güçlendirir.
MME’de üç önemli unsur tanıtılmaktadır:
- Birincisi, eşit API değiştirme etkilerini telafi eden semantik yakınlığa sahip API’ler için bir bilgi grafiğidir.
- Bir diğeri ise, modelin benzer kaynak erişim modellerine odaklanmasını artıran, özellik karma algoritmasına dayalı hiyerarşik sistem kaynak kodlamasıdır.
- Üçüncüsü ise kötü amaçlı yazılım nesilleri boyunca kalıcı API parçalarına dikkat edilmesini sağlayan karşılaştırmalı bir öğrenme stratejisini içeriyor.
MME’nin LSTM ve Text-CNN modellerine bu şekilde uygulanması, modellerin çalışma ömürlerini önemli ölçüde uzatmakta ve yanlış negatif oranlarını azaltmaktadır.
Bakım senaryolarında, performanstan ödün vermeden, insan açıklama çabalarında %94,42’ye varan bir azalma görülmektedir.
Ancak MME destekli modeller, %90’ın üzerinde F1 skorları ve %10’un altında yanlış negatif oranları elde etmek için ayda yalnızca %1 etiketli veriye ihtiyaç duyarken, normal modeller en az %5 gerektirir.
Bu, analist katılımında beş kat azalmanın yanı sıra tespit hassasiyetinde de iyileşmeyi yansıtıyor; bu da MME’yi kötü amaçlı yazılım evriminin etkilerini etkisiz hale getirmek ve kötü amaçlı yazılım algılayıcılarının sürdürülebilir uzun vadeli çalışmasını sağlamak için etkili bir araç haline getiriyor.
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide